Digital Forensics Network Forensics Network Forensics Process 필요성 목차 Incident( 사고 ) 와 Forensics 의관련성 E-evidence 를위한네트워크트래픽수집 Network Forensics System

Size: px

Start display at page:

Download "Digital Forensics Network Forensics Network Forensics Process 필요성 목차 Incident( 사고 ) 와 Forensics 의관련성 E-evidence 를위한네트워크트래픽수집 Network Forensics System"

지유 전
7 years ago
Views:

1 Network Forensics 개념및동향 테라스코프 기술지원팀장 Ph. D. 나병윤

2 Digital Forensics Network Forensics Network Forensics Process 필요성 목차 Incident( 사고 ) 와 Forensics 의관련성 E-evidence 를위한네트워크트래픽수집 Network Forensics System 주요기능 Network Forensics 제한요소들 Forensics Service 동향 2

3 Digital Forensics 사용자또는네트워크에서처리하고전송하는디지털소스들을수집, 확인, 비교및분석하여디지털증거또는원인분석자료로사용하는과학적인기술 Forensics 는내부침입또는장애가발생한이후에적용되는기술이며, 정보를분석하고증거를수집하여사고발생시점에서어떤동작이있었는지를확인하는것 Forensics 분석결과는유사한침입이나장애가다시발생하지않도록자취및원인을제공 PC or Computer Forensics Network Forensics For Network Security For Network Troubleshooting 3

4 Network Forensics Network Forensics IP 주소, 경로및세션에대한상세정보수집 - Network forensics 은네트워크통신상태와라우터, 스위치및 IDS 와같은네트워크시스템들에대한정보를측정 로그정보와실제패킷저장 - 로그와관련된트래픽정보및패킷추출, 재생 - 사고가발생했던과거시점에서의상황분석및증거, 흔적수집 Network Forensics 시스템이가능한이유 - 하드디스크의저장기술이발전하여수백기가또는수테라바이트의공간사용가능 저장공간계산예 - 평균 100Mbps 의대역폭에서는최대초당약 12Mbytes 의트래픽이발생 - 24 시간동안 12M x 60 초 x 60 분 x 24 시간 = 약 1Tbytes (1.037Tbyes) 필요 4

5 Network Forensics Process For Security 지속적인패킷저장 침입또는서비스중지시점확인 해당시점의트래픽통계및패킷추출 트래픽패턴및상세데이터분석 패턴및증거수집 (HTTP, Telnet, SMTP 등 ) For Troubleshooting 서비스지연및장애발생시점확인 해당시점의트래픽통계및패킷추출 커넥션별응답시간및패킷흐름분석 응답시간지연또는커넥션종료원인제시 Firewall log HIDS log NIDS alert etc. Distributed Agent Packet Capture Packet Filter Packet Mining IP Traceback TCP/UDP Connection Protocol Analysis Payload Reconstruction

6 필요성 갑작스런트래픽폭주나네트워크서비스가중단된경우갑작스런트래픽폭주나네트워크서비스가중단된경우 기존현황 실시간트래픽모니터링및로그분석장비보유 ( 트래픽폭주및로그기록정보보유 ) 프로토콜분석기를보유하고있는경우, 백본이나일반스위치에서패킷들을수집및분석 문제점 IP 주소나 TCP/UDP 포트에대한실시간측정이가능하지만주원인분석을위한패킷수집이어려움 트래픽이폭주하는경우, 스위치자체의접속도힘겹기때문에패킷추출이어려움 네트워크서비스가중단된시점에서는트래픽측정및패킷수집이불가능 해결방안 상시트래픽및패킷수집, 분석시스템구축 전산실스위치에접속하지않고원격으로패킷을분석할수있는원격분석체제구축 수시간전네트워크트래픽발생상태를검사해야하는경우수시간전네트워크트래픽발생상태를검사해야하는경우 기존현황 트래픽로그저장및침입탐지 / 방지장비보유 ( 모든트래픽및침입현황에대한로그기록 ) 요청이있거나보고가필요한경우에만보고서형태로추출하여검토 문제점 로그기록만있기때문에해당로그와관련된트래픽의정상적인통신내역인지파악하기어려움. 특정로그와관련된패킷들만저장하도록기준을설정하는것은매우복잡함 해결방안 24 시간모든트래픽및패킷을수집, 저장해야함 ( 대용량저장시스템필요 ) 언제라도원하는시간대의특정 IP 나 TCP/UDP 어플리케이션에대한패킷들을추출할수있어야함 지난밤또는비업무시간동안의트래픽흐름변화에대해신속하게파악할수있어야함 6

7 어플리케이션서비스에장애가발생한경우어플리케이션서비스에장애가발생한경우 필요성 ( 계속 ) 기존현황 서버성능및서비스관리시스템을보유하여서버의서비스상태를상시모니터링하고있음 서비스장애에대한로그검출시스템에의존하여서비스성능분석 문제점 서버자체의장애는튜닝으로해결방안을모색하지만, 특정네트워크구간에서의장애는검출하기어려움 일정시간지속적인서비스장애는검출이용이하지만, 비정기적으로발생하는서비스장애는검출및분석이어려움 로그자체가장애를의미하지만, 명확한장애의원인분석은어려움 해결방안 구간별상시트래픽및패킷수집, 분석시스템구축 각구간에서의패킷을상호비교하여명확한장애의원인을규명할수있는장비설치 해외나국내지사에대한서비스에장애가발생한경우해외나국내지사에대한서비스에장애가발생한경우 기존현황 라우터뒷단에서 IP 를기준으로원격지사나 WAN 트래픽측정및분석 일반트래픽로그분석기및 IDS 로그를통하여장애및보안현황측정 문제점 특정지점의 IP 주소만측정하여분석하기때문에 WAN 전체가문제인지, 특정지사만문제인지확실하게규명하기어려움 지사네트워크와본사네트워크에서동시에패킷을추출하여분석해야함 해결방안 원격지사와사내어플리케이션서비스간의상호비교분석가능한시스템구축 WAN 선로전체패킷및트래픽을측정하여특정 IP 에대한정보만추출분석 7

8 Incident 와 Forensics 의관련성 사고의유형과수집되어야하는정보 사고의유형불법적인자원사용 DoS (denial of service) 데이터손상및변조정보누설 사고 (Incidents) 프로세스및저장장치불법사용 네트워크대역폭불법사용 메일및프록시서비스의불법릴레이 (relay) 서버자원들을과도하게소모하여서비스불안정및중단 네트워크대역폭을과도하게점유하여통신불안정및중단 웹페이지, 데이터파일, 프로그램파일변조 비공개자료의누설과통신가로채기 필요한정보 호스트 : 액세스로그, 프로세스상태, CPU 사용률과파일및저장공간상태 네트워크 : 회선상태, 송수신된패킷개수, IP 주소, 프로토콜사용현황및스위치포트상태 호스트 : 어플리케이션로그와프로세스상태 네트워크 : IP 주소, 프로토콜사용현황및데이터내용 호스트 : 프로세스상태, CPU 사용률및비정상적인패킷로그 네트워크 : 회선상태, 비정상적인패킷개수, IP 주소및비정상적인패킷의내용 네트워크 : 송수신된패킷개수, IP 주소, 프로토콜사용현황및데이터내용 호스트 : 액세스로그, 파일과저장장치상태, 환경파일의내용등 네트워크 : IP 주소, 프로토콜사용현황, 데이터내용, 스위치포트의상태 호스트 : 액세스로그와파일및저장장치상태네트워크 : IP 주소, 프로토콜사용현황, 데이터내용및스위치포트상태 8

9 E-evidence 를위한네트워크트래픽수집 Network Forensics System 을운영할수있는위치 9

10 E-evidence 를위한네트워크트래픽수집 ( 계속 ) 수집데이터 Alert data 일반적인 IDS 로그 ( 보안분석 ) Context 검사또는 Signature 나 Anomaly 적용에의한로그 ( 보안분석 ) 임계수치기반의트래픽관련알람로그 ( 보안및장애분석 ) 세션또는패킷분석에의한알람로그 ( 장애분석 ) Full content data 어플리케이션데이터를포함하고있는모든상세패킷들 대용량의저장공간이필요하지만, 세부적인정밀분석에반드시필요 Statistical data IP 주소, TCP/UDP 포트또는어플리케이션별트래픽통계 특정 IP 주소, TCP/UDP 포트에대한시간별트래픽발생상태 Session data 시스템간의통신내역에대한분석자료 어플리케이션데이터또는암호화된데이터와상관없는 TCP 커넥션자체에대한분석자료 커넥션설정및종료와관련된정보 (SYN, RST, FIN) 개별커넥션단위의응답시간및패킷재전송상태등 10

11 Network Forensics System 주요기능 Network Forensics System (NFS) 주요기능 일반기능 Capture the Network Packets Filter and Dump the Traffic Steam Forensics Database Mining Network Protocol Analysis Network Surveying Network Attack Analysis and Visualization 상세기능 Switch 의미러포트또는 Tap 을이용하여연결하여네트워크에영향주지않음 일정시간동안의모든패킷을실시간저장하도록대용량저장장치사용 저장용량확장기능 ( 서버의디스크관리기능 ) 로그가발생한시점의트래픽통계및변화상황분석 특정로그를발생시킨 IP, 세션에대한상세패킷분석 패턴문자열을이용한패킷검색 실제침입형태를정밀분석하기위하여 Web, , IM (Instant Messaging), Telnet, VoIP 어플리케이션및특정세션에대한재생 11

12 Network Forensics System ( 계속 ) NetWitness ( 윈도우기반, IIS, MSSQL, 유료 ) 기본프로토콜분석기능네트워크보안분석용 NetIntercept (Linux 기반, 별도의콘솔, 유료 ) 기본패킷분석기능네트워크보안증거수집을위해설계마우스클릭으로세션정보및어플리케이션데이터재생 NetDetector (Linux 기반, 인터넷브라우저, 유료 ) 자체하드웨어형 IDS 기능 (Snot, anomaly) 을기반으로하는 Network Forensics System 인터넷브라우저를이용한사용자인터페이스네트워크보안분석로그및해당세션패킷마이닝및어플리케이션데이터재생 ngenius (Linux 기반, 인터넷브라우저, 유료 ) 자체하드웨어형실시간패킷, 트래픽통계파일저장실시간패킷저장및트래픽통계, 세션분석후상세분석을위한데이터마이닝데이터마이닝 (.cap) 이후, Sniffer를사용하여상세분석 GigaStor (Windows 기반, 유료 ) 자체하드웨어형실시간패킷및트래픽통계파일저장실시간패킷저장및트래픽통계, 세션분석후상세분석을위한데이터마이닝데이터마이닝이후, Observer를사용하여상세분석 Omnipliance (Windows, Linux 기반, 유료 ) 서버탑재 Engine 형실시간패킷파일저장저장된파일의기록시간또는마이닝필터를사용하여패킷추출패킷마이닝이후, OmniPeek을사용하여상세분석 12

13 Summary Network Forensics System ( 계속 ) 이름 공급자 플랫폼 특징 TCPDump, Windump Open Source ( Unix, Windows C Network Stumbler Open Source ( Windows C Flow-tools Open Source ( Unix CL Flow-extract, Flow Scripts Open Source ( Unix L Snort Open Source ( Unix CL GigaStor Network Instruments ( Appliance CLSRA Ethereal Open Source ( Windows, Unix CLS Omnipliance WildPackets Inc. ( Windows CLRA SecureNet Intrusion Inc. Windows with collector appliance CS Infinistream Network General ( Appliance CSRA NetDetector (NetVCR) Niksun ( Appliance CLSRA NetIntercept Sandstorm Tech ( Bundled software ( 별도 Linux box) CSRA ngenius NetScout ( Appliance CLSRA C = Collection & Filtering, L = Log file analysis (Event or Alarm) S = Stream reassembly, R = correlation & analysis of multiple raw data source, A = Application layer viewer 13

14 Network Forensics 제한요소들 대역폭확장에따른저장시간감소 인터넷대역폭의급격한증가로모든정보를사전에저장하기위해필요한디스크공간도급격히증가 보안장비들이공격을당할수도있음 보안장비들의주요기능들은정교하고복잡한공격에대응하기위해서진화하고있으며, 보다향상된운영환경의요구에대응하고있음 이러한향상된기능들은보안장비를더욱취약하게만들수도있음 2004년 2월에는주요 IDS 제품들에대한공격이수많은 IDS 장비들을손상시킴 운영자는이러한공격상황에서는보안장비가중지되기전까지는사고를정확하게인식할수없으며, 정상적으로동작하고있는것으로판단 암호화기술확산 IPsec, SSL과같은암호화기술을사용하는 VPN (virtual private network) 서비스가기업네트워크액세스기술로확산되어있음. Network Forensics System은암호화된통신에대한정보를수집하여 source와 destination IP 주소및통신시간을표시할수있지만, 패킷의내용을분석할수없기때문에공격패턴이나침입자가사용하는명령어들을상세하게검출할수없음. Network Forensics System에서수집된정보와공격대상이된호스트에대한상세정보를취합하여분석필요 내부공격 내부자원들의비정상적인동작이나고의적인내부공격이때로는외부공격에비해심각한사고를발생시킴 대규모네트워크에서는내부공격에대응하기위해서네트워크구간별로정보를수집, 분석해야하기때문에많은수의장비가필요 14

15 U.S.A. Forensics Service 동향 이미대규모로확장되어있는 MSSP (Managed Security Service Provider) 들은 Forensics 서비스를 Computer forensics, Network Forensics 로구분하여서비스하고있으며, Forensics 엔지니어교육및법률적인지원까지제공 15

16 Forensics Service 동향 ( 계속 ) Computer forensic services Evidence collection and analysis service 이서비스는손상된컴퓨터시스템에있는수많은데이터에서법률적으로필요한데이터를신속하게찾아증거로보관. 주요 MSSP는다른 MSSP들과협조하여서비스를제공 Data recovery service 이서비스는범죄의증거가되는데이터를복원 클라이언트가저장장치를 MSSP에전달하거나, MSSP가데이터를복원할수있도록네트워크를경유하여클라이언트시스템에접근허용 Network forensic services System integrator and product supplier service 보안사고가발생한경우, MSSP는다양한보안장비와로그들을사용하여프로세스를재생하기위해이벤트들사이의관련성을분석하고원인및범죄증거를분류함 MSSP들이사용하는장비가주요기술이며장비에대한관리서비스도제공함 NSP s optional service 이서비스는 NSP (Network Service Provider) 가제공하는보안서비스의일부로제공됨 NSP 는원격으로 CPE (customer premises equipment ) 의보안장비및네트워크와 CPE 들사이의접속지점을모니터 Operation and management support services Lawsuit support consulting service 이서비스는전략적인계획및데이터수집을위한컨설팅을제공하며, 더불어법정에서증언하기위한전문가도제공 회계법인은법률적인사건과관련된컨설팅의일부로이서비스를제공 Training and accreditation service 이서비스는 Computer Forensics 조사원을위한교육코스를제공하며, 해다코스에대한인증서도제공 16

17 일본 중국 유럽 Forensics Service 동향 ( 계속 ) 2004년도 NTT의 Network Forensics 기술연구발표를시작으로주요 ISP 및금융기업에서도입시작 2006년현재 NTT, KDDI, Japan Telecom 및주요은행에서는보안사고와장애원인추적, 분석을위한기본시스템으로정착 2004 년도학계의 Network Forensics 논문및기술동향분석을시작으로현재주요 ISP 및은행에서도입 2003~4년도글로벌금융기업에서도입시작현재많은유럽 ISP 및금융기업들이 Network Forensics 시스템도입운영 국내 사건추적을위한수사용으로 Computer Forensics을일부수사기관에서도입하여사용중 Network Forensics System이라는이름으로도입되어사용중인장비는없음일부공공기관및은행에서 네트워크장애분석을위한대용량패킷분석시스템 이라는이름으로도입, 운영 17

18 기업유형별 금융권 ISP Forensics Service 동향 ( 계속 ) Network Forensics 도입목적 금융사고분석및증거보존 (Security) 인터넷뱅킹서비스구간별장애원인분석 (Troubleshooting) 글로벌금융기업 ( 미국, 유럽, 일본및중국 ) City Group, Morgan Stanley, JP Morgan Chase, Deutsche Bank, Barcely Bank, Mizuho Bank, UFJ Bank, Yokohama Bank etc. Network Forensics 도입목적 외부회선서비스장애원인분석외부기업 Forensics 서비스용내부보안사고원인분석 예 : Bell South, Verizon Wireless, AT&T Wireless, Time Warner, AOL, Reuter, British Telecom, T-Mobile, Deutsche Telecom, NTT (East), NTT (West), NTT Docomo, Japan Telecom, KDDI, China Telecom, China Mobile, Korea Telecom 공공기관 Network Forensics 도입목적 일반기업 내부네트워크장애원인분석내부보안사고원인분석및증거보존 Network Forensics 도입목적 내부네트워크장애원인분석내부보안사고원인분석및증거보존 예 : Intel, IBM, Nortel, Cisco, General Motors, Ford, Qualcomm, Federal Express, United Airline, Sony, Fujitsu, NEC, Hitachi, etc. 18

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!